Test Antivirus - Firewall - Antimalware - Suite

[Romagnolo1973]

Apro la discussione perchè su HWUpgrade i vari test non hanno una singola discussione in cui essere raggruppati e in cui parlarne, vi sono solo 3d specifici per un singolo test appena uscito e poi si perde nei meandri delle pagine.

L'intento mio, che sono un pignolo dell'ordine, è semplicemente quello di avere una discussione unica dove gli utenti possano postare i link ai vari test appena usciti e successivamente sempre qui discuterne i risultati; così chi volesse decidere quale suite, AV, FW, Hips, Antimalware installare potrebbe vedere negli ultimi post della discussione quale faccia al suo caso.

Ricordo a tutti che nel caso di AV-Comparatives per precisa policy del loro sito è proibito mettere il link diretto al file PDF del test, ma occorre mettere solo il link al sito stesso, sta poi all'utente cliccare e vedere o scaricare il pdf da lì.

Intanto per chi vuole farsi una idea dei test più conosciuti e accreditati riporto i link, poi di questi e anche di altri parliamo in discussione:

AV-Comparatives

AV-Comparatives Tabella Real World Protection Test

Virus Bulletin

AV-Test (anche test su android)

CRDF Test giornaliero con mille virus zero-days

Shadowserver Test giornaliero zero-days

MRG Test

PassMark Test di impatto degli AV sulle performance di un pc

PC Security Labs (Test molto validi su Android)

Test Matousec questo valuta la componente Hips e Firewall delle suite mentre sostanzialmente non considera la parte antivirus del prodotto.

Ricordo a tutti che qui si parla dei vari test, opinioni, metodologie, considerazioni e può servire per capire quale antivirus usare ma domande del tipo "Mi scade l'antivirus quale è meglio usare..." vanno postate in quest'altra discussione di consigli.

[Romagnolo1973]

Quali Engine sono usati dai vari AV?
Basta mettere la tabella in ordine di Engine per vederli. Se un produttore è molto usato anche da terzi in genere è perchè è valido e questo già può aiutarvi a scegliere. C'è comunque anche il contro che è dato dal fatto che un prodotto molto usato è quello su cui gli hacker si concentrano di più, se bypassano quello possono infettare una percentuale maggiore di pc.

Quali test sono più significativi?
Occorre fare 2 classificazioni, in ordine di serietà dei test e in ordine di tipologia di test a cui dare maggiore importanza.

Nel primo caso non penso vi siano dubbi nel dire che le tre società più rigorose e serie siano
AV-Comparatives, Virus Bulletin e AviTest.org a cui affiancherei anche i 2 test zerodays giornalieri che ho indicato (CRDF e Shadowserver), insomma sostanzialmente le compagnie descritte al post precedente sono già in ordine di importanza, rigorosità, indipendenza e serietà così come vengono percepite nel mondo IT, sebbene non sia una classifica esaustiva.
Una idea su quale sia il migliore in un dato momento ve la potete fare analizzando gli ultimi test di queste società, poco valore invece darei ad altri test più amatoriali che si trovano in internet di cui c'è da apprezzare la buona volontà ma spesso la metodologia non è aderente ai dettami della AMTSO (Associazione che tenta di dare degli standard ai test) o non sono imparziali o il numero di malware è esiguo.

Nel secondo caso ovvero capire quale dei vari test svolti sia da considerare maggiormente si va un po' più sul soggettivo poichè le esigenze di uno non sono quelle di tutti. Io personalmente per una utenza casalinga ho questa scala di importanza nei test e vi spiego brevemente il perchè:

• A) Test Realtime: come quelli svolti da AV_Comparatives e denominati "Real world Protection Test", oltre a quelli di Av-Test.org se mettete la loro tabella in ordine di protezione. Sono i test più simili a quelli che sono gli usi soliti di un pc, ovvero pericoli web, zerodays, vulnerabilità di java e flash o microsoft, il tutto su sistemi reali dove l'AntiVirus agisce con tutti i suoi vari moduli contemporaneamente. Si capisce da ciò il perchè lo considero il test principe.
• B) Test Zerodays: un AV ragiona non solo di euristica ma anche con le firme virali, queste però prima di essere create necessitano di vari giorni in cui i laboratori studiano la minaccia per poi effettivamente trovare la "cura". C'è chi è più veloce di altri ma capite che prima che si trovi la risposta alla minaccia un tot di pc sarà esposto al virus. In questo caso hanno importanza l'euristica e i vari moduli che analizzano il comportamento di un file sul sistema e lo bloccano o avvisano l'utente se l'azione che svolge è sospetta. Questo aspetto (comunque in parte già ponderato nei test realtime) è analizzato da AV-Comparatives nel "Heuristic\Behaviour Test" detto anche Test Retrospective. Oltre a loro viene giornalmente analizzato da CRDF e da Shadowserver quindi vi consiglio di prenderli in considerazione guardandone gli sviluppi per una settimana mentre state decidendo quale AV faccia per voi.
• C) Test File Detection: sono i test svolti su una cartella di malware di vario genere (alcuni zeroadays e altri più vecchi e comuni oltre a qualche file pulito per analizzare anche gli eventuali falsi positivi) su cui si fa una scansione da tasto destro senza che i virus siano avviati direttamente. Questo test viene chiamato da Av-Comparatives "File Detection Test", altro test basicamente di Detection è quello svolto da Virus Bulletin nell suo RAP Test dove solo 1\4 dei malware è da intendersi zerodays. Basicamente la valutazione è quindi fatta sulle firme virali dell'AV senza che siano presi in considerazione (o considerati comunque marginalmente) altri moduli di cui il prodotto dispone per proteggere il pc. E' un test valido se si è un provider o si hanno server che gestiscono mail con allegati ma non è più il test di maggior importanza su pc di utenti come lo era anni fa. Oggi i pericoli maggiori sono zerodays, vulnerabilità del sistema, siti hackerati. I risultati di questa prova sono comunque un valido indice per capire come lavorano le persone addette all'analisi dei sample e quanto siano veloci a includere le minacce nelle firme. Non è però detto che un AV che non trova la minaccia con le firme non riesca a bloccarla usando un altro dei suoi moduli quali ad esempio euristica, web filters, hips, behaviour block, vulnerability scan, firewall e altri. Riporto la metodologia applicata nel Test di Virus Bulletin VB100 perchè spiega bene proprio questo aspetto ed il perchè quindi non lo considero il test principale ma più marginale:
  "It is important in this setting to understand the difference between detection and protection. The results we report show only the core detection capabilities of traditional malware technology. Many of the products under test may offer additional protective layers to supplement this, including but not limited to: firewalls, spam filters, web and email content filters and parental controls, software and device whitelisting, URL and file reputation filtering including online lookup systems, behavioural/dynamic monitoring, HIPS, integrity checking, sandboxing, virtualization systems, backup facilities, encryption tools, data leak prevention and vulnerability scanning. The additional protection offered by these diverse components is not measured in our tests." Fonte http://www.virusbtn.com/vb100/about/methodology.xml
• D) Test di Performance: io personalmente gli do una buona importanza poichè il pc non va solo protetto ma va anche usato, quindi un ottimo AV che però affossa le performance di una macchina non è il più indicato. I test che valutano l'impatto dei prodotti sono generalmente fatti su macchine recenti ma danno comunque l'idea della pesantezza e se siano o meno adatti anche a macchine datate. AV-Comparatives ha un test di questo tipo che chiama chiaramente "Performance Test", un test analogo è svolto da PassMark e altri si trovano in internet e sebbene magari più amatoriali in questo caso sono abbastanza veritieri.
• E) Altri test quali ad esempio Falsi positivi o Rimozione tendo a considerarli del tutto marginali poichè ad esempio è una magra consolazione sapere che MSE (Defender su windows 8) è ottimo nel pulire le infezioni quando poi è pessimo nel proteggermi.

Ognuno è comunque chiaramente libero di dare la sua importanza ai test e di scegliere il programma che vuole, il pc è suo e comunque in nessun caso avrà mai sicurezza al 100% e se si è abbastanza esperti è sempre consigliabile fare una difesa multi-livello utilizzando altri prodotti a supporto dell'AV quali Firewall, Firewall + Hips, Behaviour Block, browser sandoboxato, webfilter, DNS, antimalware ondemand ....

[Binigi]

GData oltre ad essere un mattone è anche tra gli ultimi nel removal test e questo non mi quadra

[sampei.nihira]

Interessante performance di Immunet ma versione a pagamento nel recente test di MRG.
Gli utenti che in linea di principio amerebbero dotare la propria configurazione di sicurezza di 2 prodotti in real time attivi contro il malwares dovrebbero almeno provare questa strada "simbiotica" con il proprio antivirus residente,se lo usano,specie se non a tecnologia cloud.

[nV 25]

Sarà che nel tempo mi sono radicalizzato , sarà che ho sviluppato da anni un'avversione naturale nei confronti di tutto quel codice che altera il normale funzionamento del sistema operativo, fatto stà che mi fido solo di *pochissimi* software di difesa proattiva & degli strumenti di protezione intrinsechi all'OS stesso.

Di conseguenza, bypasso bellamente qualsiasi test possa vedere on line visto che le soluzioni che garantiscono un affidabilità prossima al 100%, gira e rigira, sono sempre i soliti.

Vedere pertanto pubblicato in un test tal dei tali che Avira (ad es.) raggiunge uno score del 99%, "lo leggo" solo in un ottica di "fortuna":
gli strumenti basati su black-list e/o timide/raffinate euristiche, infatti, non potranno mai garantire determinati "score"...

In conclusione, utilizzo ormai da mò uno scanner solo per lavare qualche dubbio possa nascere quando sono un pò più "birichino" sulla rete* ma non rappresenta certamente nella mia visione il 1° anello di difesa, anzi...


L'intento di questo post non è cmq quello di denigrare l'idea di romagnolo che anzi è ottima quanto piuttosto quella di dire, come poi ho detto poc'anzi:
quale che siano i risultati dei test che possano essere stati pubblicati nel presente o nel futuro, i prodotti da usare sono solo pochissimi.

IMHO.

*non pensate subito al porno, grazie..

[nV 25]

sarò sicuramente tacciato di
- OT
- radicalismo esasperato

e mi aspetto una bella valanga di contestazioni...

Vediamo se c'ho preso...

[Legolas84]

Sembra che Kaspersky con la versione 2012 sia davvero tornato su vette di eccellenza.... (non che si sia mai messa in dubbio la sua qualità, ma con le versioni 2009, 2010 e 2011 forse non è stato proprio sulla vetta).....

[eraser]

Quote:

Originariamente inviato da nV 25

Vedere pertanto pubblicato in un test tal dei tali che Avira (ad es.) raggiunge uno score del 99%, "lo leggo" solo in un ottica di "fortuna":
gli strumenti basati su black-list e/o timide/raffinate euristiche, infatti, non potranno mai garantire determinati "score"...

Domanda: come fai a sapere sicuramente che un'applicazione che stai eseguendo non sia infetta da un qualsiasi file infector? Ad esempio Virut, Sality, Polip, o qualsiasi altro nuovo file infector

Risposta 1: "Lo eseguo in una sandbox". Sì, se non ti fidi di tale applicativo. Ma che succede se è un applicativo di cui ti fidi? Magari proveniente da fonti giudicate come certe?

Risposta 2: "Uso Defensewall". Sì, idem come sopra. Puoi utilizzare Defensewall se pensi che quello che stia arrivando sul tuo PC provenga da fonte sconosciuta o poco affidabile. Ma che succede se invece pensi che sia affidabile?

Basti ricordare il virus Induc, capace di infettare (detto in maniera molto semplice) i codici sorgenti dei programmi. Quindi, attaccando il PC dello sviluppatore, automaticamente quel programma che viene scritto è infetto. Ma tu ti fidi, lo hai scaricato dal sito originale, dallo sviluppatore originale. Il problema è che neanche lo sviluppatore originale lo sapeva di essere infetto.

E ovviamente faccio riferimento a Induc perché è solo uno dei più recenti, senza andare a scomodare il passato.

Come puoi prevedere queste situazioni se non con un antivirus in tempo reale che possa analizzare all'interno i file eseguibili, sapendo bene dove andare a guardare?

Escluso ovviamente che tu non apra ogni singolo file eseguibile con un disassember/debugger e lo analizzi in profondità prima di eseguirlo

[nV 25]

diabolico eraser, che giustamente temo...

Ora sono occupato (ho risp. solo per farti vedere che ho letto...), cmq se più avanti rilevo la possibilità di controbattere lo faccio, tranquillo...

Ne approfitto per augurarti un sereno Natale, ciao!

[nV 25]

Quote:

Originariamente inviato da nV 25

...cmq se più avanti rilevo la possibilità di controbattere lo faccio...

ho la risposta ma te la faccio sudare fino al 26 quando sono più libero ...

[eraser]

Quote:

Originariamente inviato da nV 25

ho la risposta ma te la faccio sudare fino al 26 quando sono più libero ...

haha ottimo Questi esercizi di pensiero servono molto per approfondire la tematica sicurezza Aiutano a vedere degli aspetti sotto diversi punti di vista

Quote:

Originariamente inviato da nV 25

Ne approfitto per augurarti un sereno Natale, ciao!

Tanti cari auguri anche a te dal cancellino!

[arnyreny]

Quote:

Originariamente inviato da nV 25

ho la risposta ma te la faccio sudare fino al 26 quando sono più libero ...

sono curioso....ma credo che stai bleffando

per questo prendi tempo...

[nV 25]

Quote:

Originariamente inviato da eraser

Domanda: come fai a sapere sicuramente che un'applicazione che stai eseguendo non sia infetta da un qualsiasi file infector? Ad esempio Virut, Sality, Polip, o qualsiasi altro nuovo file infector

Risposta 1: "Lo eseguo in una sandbox". Sì, se non ti fidi di tale applicativo. Ma che succede se è un applicativo di cui ti fidi? Magari proveniente da fonti giudicate come certe?

Risposta 2: "Uso Defensewall". Sì, idem come sopra. Puoi utilizzare Defensewall se pensi che quello che stia arrivando sul tuo PC provenga da fonte sconosciuta o poco affidabile. Ma che succede se invece pensi che sia affidabile?

Basti ricordare il virus Induc, capace di infettare (detto in maniera molto semplice) i codici sorgenti dei programmi. Quindi, attaccando il PC dello sviluppatore, automaticamente quel programma che viene scritto è infetto. Ma tu ti fidi, lo hai scaricato dal sito originale, dallo sviluppatore originale. Il problema è che neanche lo sviluppatore originale lo sapeva di essere infetto.

E ovviamente faccio riferimento a Induc perché è solo uno dei più recenti, senza andare a scomodare il passato.

Come puoi prevedere queste situazioni se non con un antivirus in tempo reale che possa analizzare all'interno i file eseguibili, sapendo bene dove andare a guardare?

Escluso ovviamente che tu non apra ogni singolo file eseguibile con un disassember/debugger e lo analizzi in profondità prima di eseguirlo

come promesso, ecco la risposta tanto agognata:
hai ragione.

Il tuo ragionamento, infatti, muove da condizioni talmente particolari che, per quanto concrete, bollerei come limite...

Dati i tuoi punti di partenza (in particolare, il caso dello stesso sviluppatore ignaro [...]), è impossibile non convenire sulle tue conclusioni e l' "esercizio di pensiero" è bell'e che concluso. (pensa, te l'ho anche fatta sudare 2 giorni! )


Mi viene anche in mente il caso di reindirizzamento ad un file ad hoc quando si usa il meccanismo dell'aggiornamento automatico di un dato programma, es Google, ...:
chiaro, i primi si infettano matematico anche in presenza di uno strumento di difesa proattiva visto che al 99,...% il processo lo porterebbero a termine al-di-fuori di qualsiasi restrizione (e io per 1°, "tanto il file è sicuro, no?").


Scendiamo però sulla terra e preoccupiamoci della "vera realtà". (notare il vera..)


La vera realtà, dunque, è quella che vede un utente medio (figurarsi quello sotto la media ) non considerare minimamente il problema-sicurezza.

ZERO.
OVO.
CICCIA.

Non gliene frega una emerita mazza.

Al di là dunque di quelli che sono i casi (limite) che fregherebbero anche nV 25 portandolo ad infettarsi, gli altri troverebbero un sicuro vantaggio ad usare software come DefenseWall in primis o Sandboxie.

Perchè questi, è innegabile, SONO i software MUST HAVE.

Che non danno il 100% por ovvi motivi (in particolare, sulle minacce "future" se lo sviluppo dei medesimi non è costante nel tempo) ma che consentirebbero di liberare i forum da n-mila thread di richiesta d'aiuto, segno evidente di un lavoro portato a termine correttamente.

Poichè questi utenti-medi avrebbero cmq sempre beneficio dall'impiego di un Antivirus per n-motivi, ecco che il sistema del tizio che parte da una base di difesa "atipica" sarebbe realmente più robusto in partenza *QUALE CHE SIA L'ANTIVIRUS UTILIZZATO*.

La scelta dell'AV, dunque, potrebbe vertere su elementi diversi dalla nuda % di rilevazione ora indicata in un sito, ora indicata in un altro, tanto la 1° linea di difesa è un'altra!.

Es:
se sapessi che la mia (vera) difesa risiede su altri cardini (Account limitato,...), di avere AVIRA che sul sito tal dei tali fa registrare periodicamente il 98% di rilevazioni potrebbe importarmi....0 se fosse un mattone, ecc.

HitmanPro, il vostro stesso SecureAnyware potrebbero realmente rientrare nel paniere di programmi cui penso per completare la difesa:
rispondono infatti ad altri parametri per me essenziali, e a questo punto chissenefrega se rilevano il 2% di sample in -...


Morale:
indipendentemente da cosa dicano i test che cmq restano uno strumento prezioso, se uno struttura la propria linea di difesa come-dico-io può stare sicuro di postare meno richieste di aiuto.

[nV 25]

Dimenticavo @ eraser:

è chiaro che nel ragionamento sopra ho cercato di violentarmi mettendomi il più possibile nei panni dell'utente medio perchè, al di là dei casi (permettimi) limite che hai portato, stai pur certo che nV 25, con il suo impianto di difesa, ha una probabilità infinitesima (o trascurabile) di infettarsi ...
Se trascuro infatti i casi che porti, il sottoscritto credo sia sufficientemente lucido per arrivare a discernere quando un eseguibile ha comportamenti anomali (osservazione dei log, ...)

[eraser]

Ragionamento che non fa una piega Certo, esula totalmente dal mio pensiero

Il punto che volevo toccare è che l'approccio dei software sandbox parte dal presupposto di considerare qualcosa come fidato e qualcos'altro come non fidato. Ma questa idea, seppur validissima, non è sufficiente da sola.

Infatti, chi divide i programmi nelle due categorie? L'uomo stesso, che può sbagliare molto facilmente. Senza considerare che potrebbe pure non essere un errore dell'utente finale, ma di qualcuno nel mezzo.

Situazione 1: Un tuo amico ti passa un software che tu cercavi da parecchio. Lo devi installare. Al diavolo le sandbox, d'altronde il software te l'ha passato il tuo amico, mica è stato preso da chissà quale sito pirata online. Peccato che il computer del tuo amico era infetto da Virut Un computer con un antivirus se ne sarebbe accorto, un computer protetto solo da software sandbox no

Situazione 2: Lo stesso sviluppatore del software è rimasto infetto - non pensare che tutti utilizzino le stesse precauzioni tue

I software sandbox ragionano con il preconcetto di fidato/non fidato. I software antivirus guardano in profondità ogni file, ed è un approccio che ha i suoi pro e contro, ma dal quale è molto difficile prescinderne

[xcdegasp]

mi trovo concorde con entrambi, come sempre.. l'uomo è ingenuo e muorirà da ingenuo per questo deve essere affiancato da strumenti che completino il suo agire. intendo anche strumenti che gli dicano "hai peccato di ingenuità, ma ci ho pensato io!", e in genere un antivirus lo fa'. talvolta forse eccelle in questo comportamento segnalando il pericolo dove non c'è, ma è pur sempre un prodotto dell'uomo quindi affetto da imperfezioni.

ma un utente medio colto in una giornata particolarmente storta e in un momento molto affaticato potrebbe essere una preda molto facile sopratutto nell'esempio di eraser, di un amico che ti passa il programma su cd o chiavetta..

entrambe le strade non portano a un 100% di efficacia ma non sono gli unici strumenti adottati fortunatamente

[eraser]

Ho mica fatto fuggire nV 25?

[nV 25]

no, no, figurarsi se una gomma ha questo potere...

[eraser]

Quote:

Originariamente inviato da nV 25

no, no, figurarsi se una gomma ha questo potere...

al massimo ti cancello

[nV 25]

anzi, visto che ci sono rispondo al post n°15:

Quote:

Originariamente inviato da eraser

Il punto che volevo toccare è che l'approccio dei software sandbox parte dal presupposto di considerare qualcosa come fidato e qualcos'altro come non fidato. Ma questa idea, seppur validissima, non è sufficiente da sola.

Infatti, chi divide i programmi nelle due categorie? [...]

DefenseWall (che mi manca assai, si è capito per caso? ) permette di bypassare questa situazione di "impasse".

Con 2 semplici modifiche ai settaggi di default (era per es. l'impostazione che usavo io...), si può fare in modo da tenere il puù possibile un file sotto il controllo del programma, in questo senso:
a meno di non liberare manualmente (procedura relativamente laboriosa) un file dalle restrizioni del Sandbox (e quindi, decisione rimessa nelle mani dell'utente con tutto quello che ne deriva...), i file saranno sempre isolati.

Ah, bei tempi... e che programmino!